- بواسطة x32x01 ||
كتير من الناس اللي بتشتغل في اختبار الاختراق (Penetration Testing) أو تحليل الترافيك بتقابل مشكلة مزعجة جدًا.
أول ما تشغل Burp Suite أو OWASP ZAP Proxy
وتحاول تدخل موقع… فجأة يظهرلك الخطأ المشهور: 403 Forbidden 🚫
وده بيحصل لأن مواقع كتير بقت تستخدم تقنيات حماية متقدمة تقدر تكتشف وجود البروكسي بسهولة.
لكن في أداة قوية جدًا ناس كتير مش واخدة بالها منها…
وممكن تحل المشكلة دي بسهولة. اسمها HTTP Toolkit 👑
الأداة دي شبه Burp Suite أو ZAP Proxy
لكن عندها قدرات مختلفة ومميزة جدًا خصوصًا في التعامل مع أنواع الترافيك المختلفة.
الميزة الجميلة إن الأداة:
يرجعلك الرد: 403 Forbidden
وهنا بييجي دور HTTP Toolkit.
ومن أهم المميزات:
مثلاً طلبات زي:
الأداة تقدر تعترضها وتحللها بسهولة.
الأداة تقدر تراقب الترافيك اللي خارج منه.
وده مهم جدًا للمطورين والـ DevOps Engineers.
ممكن يتم اعتراض الترافيك الخاص به بسهولة.
وده مفيد جدًا في اختبار:
وتشغل التطبيق داخل Android Emulator.
HTTP Toolkit يقدر يعترض الترافيك الخارج من التطبيق بسهولة.
وده بيخليها أداة قوية جدًا في:
تقدر:
الميزة دي بتخليك تعمل حاجة شبه: Match and Replace في Burp Suite
مثال:
لو الأداة لقت نص معين في الطلب تقدر تستبدله تلقائيًا بنص تاني.
وده مفيد جدًا في:
الفكرة ببساطة:
الترافيك يمر الأول على HTTP Toolkit
وبعدين يتحول تلقائيًا إلى Burp Suite.
وده يخليك تستفيد من:
حتى بعد استخدام البروكسي.
في الحالة دي ممكن تستخدم طريقة ذكية جدًا.
اختار: Save as HAR File
وده هيحفظ كل الترافيك اللي حصل.
الإضافة دي تقدر :
الأداة دي ممكن تحل مشاكل كتير جدًا
خصوصًا مشكلة 403 Forbidden عند استخدام Burp أو ZAP.
ومع الإمكانيات اللي فيها…
هتقدر تعترض وتعدل وتحلل أي ترافيك خارج من جهازك تقريبًا.
أول ما تشغل Burp Suite أو OWASP ZAP Proxy
وتحاول تدخل موقع… فجأة يظهرلك الخطأ المشهور: 403 Forbidden 🚫
وده بيحصل لأن مواقع كتير بقت تستخدم تقنيات حماية متقدمة تقدر تكتشف وجود البروكسي بسهولة.
لكن في أداة قوية جدًا ناس كتير مش واخدة بالها منها…
وممكن تحل المشكلة دي بسهولة. اسمها HTTP Toolkit 👑
ما هو HTTP Toolkit ولماذا يعتبر أداة قوية؟ 🧠
أداة HTTP Toolkit تعتبر واحدة من أقوى أدوات تحليل واعتراض HTTP وHTTPS Traffic.الأداة دي شبه Burp Suite أو ZAP Proxy
لكن عندها قدرات مختلفة ومميزة جدًا خصوصًا في التعامل مع أنواع الترافيك المختلفة.
الميزة الجميلة إن الأداة:
- سهلة الاستخدام
- تدعم عدد كبير من التطبيقات
- تقدر تراقب الترافيك من مصادر كتير جدًا
ليه بعض المواقع بتديك خطأ 403 لما تستخدم Proxy؟ 🚨
بعض المواقع بتستخدم تقنيات حماية زي:- WAF (Web Application Firewall)
- اكتشاف أدوات الاختبار زي Burp
- فحص الـ headers
- اكتشاف الشهادات المزورة
يرجعلك الرد: 403 Forbidden
وهنا بييجي دور HTTP Toolkit.
أهم مميزات HTTP Toolkit في تحليل الترافيك 💻
الأداة دي تقدر تعترض تقريبًا أي ترافيك خارج من جهازك.ومن أهم المميزات:
اعتراض الترافيك من المتصفحات 🌐
الأداة تقدر تراقب أي طلب خارج من:- Google Chrome
- Firefox
- Microsoft Edge
اعتراض الترافيك من التيرمنال 🖥️
تقدر كمان تشوف أي طلب HTTP خارج من الـ Terminal.مثلاً طلبات زي:
curl https://example.comالأداة تقدر تعترضها وتحللها بسهولة.
اعتراض الترافيك من Docker 🐳
لو عندك تطبيق شغال داخل Docker Containerالأداة تقدر تراقب الترافيك اللي خارج منه.
وده مهم جدًا للمطورين والـ DevOps Engineers.
تحليل الترافيك من تطبيقات Java (JVM) ☕
أي تطبيق شغال على JVMممكن يتم اعتراض الترافيك الخاص به بسهولة.
وده مفيد جدًا في اختبار:
- تطبيقات Java
- Spring Boot APIs
تحليل الترافيك من تطبيقات Android Emulator 📱
لو بتختبر Android Applicationوتشغل التطبيق داخل Android Emulator.
HTTP Toolkit يقدر يعترض الترافيك الخارج من التطبيق بسهولة.
تحليل الترافيك من تطبيقات Electron Desktop 🖥️
التطبيقات المبنية باستخدام Electron زي:- VS Code
- Discord
- Slack
اعتراض الترافيك من أي تطبيق على الجهاز 💥
الميزة الأقوى في الأداة إنها تقدر تعترض: أي ترافيك خارج من أي برنامج على الجهاز بالكاملوده بيخليها أداة قوية جدًا في:
- تحليل الشبكات
- اختبار الاختراق
- تحليل API
تعديل الطلبات وإعادة إرسالها مثل Burp Repeater 🔁
الأداة فيها ميزة مهمة جدًا وهي تعديل الطلبات.تقدر:
- تعدل الـ Request
- تعيد إرساله مرة تانية
- تشوف الرد الجديد
إنشاء Rules لتعديل الترافيك تلقائيًا ⚙️
الأداة كمان فيها نظام Rules.الميزة دي بتخليك تعمل حاجة شبه: Match and Replace في Burp Suite
مثال:
لو الأداة لقت نص معين في الطلب تقدر تستبدله تلقائيًا بنص تاني.
وده مفيد جدًا في:
- اختبار الثغرات
- تحليل APIs
- تعديل Headers
استخدام Upstream Proxy مع Burp Suite 🔄
الميزة القوية في النسخة المدفوعة هي Upstream Proxy.الفكرة ببساطة:
الترافيك يمر الأول على HTTP Toolkit
وبعدين يتحول تلقائيًا إلى Burp Suite.
وده يخليك تستفيد من:
- قوة HTTP Toolkit
- وإمكانيات Burp Suite
ماذا تفعل لو الموقع مازال يعطيك 403؟ 🤔
في بعض الحالات الموقع يظل يعطي: 403 Forbiddenحتى بعد استخدام البروكسي.
في الحالة دي ممكن تستخدم طريقة ذكية جدًا.
حفظ الترافيك وتحليله داخل Burp Suite 📂
أول خطوة هي حفظ الترافيك من HTTP Toolkit.اختار: Save as HAR File
وده هيحفظ كل الترافيك اللي حصل.
استخدام إضافة HARbringer داخل Burp Suite 🧩
بعد حفظ ملف HAR تقدر تستخدم إضافة اسمها: HARbringerالإضافة دي تقدر :
- تستورد الترافيك كامل
- تحوله إلى Requests داخل Burp
- وتتعامل معاه بسهولة
خلاصة الموضوع 🧠
لو بتشتغل في:- Cyber Security
- Penetration Testing
- API Testing
الأداة دي ممكن تحل مشاكل كتير جدًا
خصوصًا مشكلة 403 Forbidden عند استخدام Burp أو ZAP.
ومع الإمكانيات اللي فيها…
هتقدر تعترض وتعدل وتحلل أي ترافيك خارج من جهازك تقريبًا.
التعديل الأخير:
